EDPB: le Guidelines 03/2026 sul web scraping nel contesto dell’intelligenza artificiale

EDPB: le Guidelines 03/2026 sul web scraping nel contesto dell’intelligenza artificiale
Il Comitato europeo per la protezione dei dati (“EDPB”) ha adottato, il 7 luglio 2026, le Guidelines 03/2026 (Versione 1.0) sottoposte a consultazione pubblica sino al 30 ottobre p.v., dedicate al web scraping quale tecnica di raccolta massiva di dati per l’addestramento di modelli di intelligenza artificiale generativa. Il documento chiarisce che il GDPR trova applicazione ogniqualvolta l’attività di scraping comporti operazioni di trattamento di dati personali e affronta i profili più critici della disciplina, a titolo esemplificativo: la qualificazione dei ruoli soggettivi, il rispetto dei principi del trattamento, l’individuazione di una pertinente base giuridica, l’eventuale trattamento di categorie particolari di dati. Le linee guida si rivolgono esclusivamente ai soggetti privati e alle attività di scraping realizzate su fonti esterne all’organizzazione che pone in essere tale attività.

1. Contesto e ambito d’applicazione

Le linee guida in commento (“Linee Guida”) muovono dalla constatazione che l’addestramento dei modelli generativi richiede volumi ingenti di dati provenienti da fonti eterogenee; il web scraping è una tecnica che mira a tale finalità, in quanto impiega strumenti automatizzati per estrarre contenuti da varie fonti quali, a titolo esemplificativo, registri pubblici, portali open data, testate giornalistiche, social network, forum e blog. Poiché tali fonti contengono con elevata probabilità dati personali, l’EDPB muove dal presupposto che la raccolta di ingenti quantità di dati personali (potenzialmente anche particolari), che di solito avviene all’insaputa degli interessati, potrebbe fornire al titolare del trattamento informazioni molto dettagliate su determinati soggetti, indipendentemente dal fatto che ciò avvenga intenzionalmente o meno.

Considerando gli aspetti tecnici e gli obiettivi del web scraping, potrebbe risultare complesso determinare con esattezza quali dati personali, e relativi a quali interessati, siano inclusi nel set di dati. Non è quindi ovvio come soddisfare le prescrizioni del GDPR in tale ambito.

L’ambito di indagine è delimitato in modo netto. Il documento considera due scenari tipici: l’organizzazione che effettua lo scraping in proprio o tramite un terzo incaricato, e l’organizzazione che riutilizza un dataset già estratto da altri (cc.dd. data broker).

2. Qualificazione dei ruoli nel trattamento

L’EDPB ribadisce che la qualificazione dei soggetti coinvolti va condotta caso per caso, sulla base degli elementi fattuali del trattamento e non di qualificazioni meramente formali.

Il soggetto che materialmente esegue lo scraping, ad esempio, non è necessariamente il titolare del trattamento. Potrebbero verificarsi casi in cui uno sviluppatore di IA che intende addestrare un modello affidi a un soggetto terzo (scraper) l’esecuzione dello scraping. Se lo scraper crea un set di dati di addestramento per conto dello sviluppatore secondo le sue istruzioni documentate (in particolare su come il set debba essere costituito in relazione alle fonti e alle categorie dei dati), lo scraper può essere considerato un responsabile del trattamento. Lo sviluppatore di IA determinerà le istruzioni in merito alle finalità e ai mezzi essenziali dello scraping e sarà quindi considerato il titolare del trattamento.

Diversa è l’ipotesi in cui lo sviluppatore addestri il modello su un dataset già estratto da altri: in tal caso scraper e sviluppatore rispondono, in linea di principio, dei rispettivi e distinti trattamenti, non essendo lo scraper responsabile del successivo riutilizzo. È infine configurabile una contitolarità quando entrambi determinino congiuntamente finalità e mezzi, come nel caso di una decisione comune di sviluppare il modello con criteri di raccolta definiti di concerto.

3. Principi applicabili al trattamento

Le Linee Guida declinano i principi dell’art. 5 GDPR con riferimento alle peculiarità dello scraping.

Quanto alla trasparenza, l’obbligo informativo verso interessati non contattati direttamente può risultare, in concreto, impossibile o comportare uno sforzo sproporzionato ai sensi dell’art. 14, par. 5, lett. b), GDPR; tuttavia l’eccezione non può essere invocata in via routinaria e presuppone una valutazione circa lo sforzo che gli comporta fornire le informazioni all’interessato rispetto all’impatto e agli effetti sull’interessato qualora tali informazioni non gli fossero fornite; in altre parole, occorre effettuare un bilanciamento condotto sull’insieme del dataset, che tenga conto del numero di interessati, dell'antichità dei dati e di eventuali garanzie adeguate in essere (sulla scorta del Considerando 62 GDPR). In ogni caso il titolare deve rendere pubblicamente disponibili le informazioni richieste, tipicamente mediante privacy policy caricata online; è buona prassi includere informazioni sui nomi di dominio e sugli URL delle pagine web sottoposte a scraping, fornirle in un formato ricercabile e includere la data o il periodo di raccolta.

Sul versante della minimizzazione, l’EDPB precisa che il principio non vieta l’addestramento di un modello o di un sistema di IA con grandi volumi di dati, ma impone di non trattare dati non necessari. A tal fine sono indicate misure differenziate a seconda della fase (prima, durante e dopo la raccolta dei dati), a titolo esemplificativo:

  • prima della raccolta: valutare il ricorso a dati sintetici o l’apposizione di filtri di esclusione per categorie di dati non necessari e per categorie di siti che strutturalmente contengono dati particolari o riferibili a minori;
  • durante e dopo la raccolta: apporre filtri “sintattici” per escludere i dati personali identificabili in base al loro formato (come il numero di documento, il numero di telefono…), praticare la sostituzione — ove possibile — con dati sintetici e, in subordine, anonimizzazione o pseudonimizzazione .
  • Il principio di esattezza, infine, non riguarda soltanto la raccolta ma anche l’output del modello immesso sul mercato: l’EDPB raccomanda di attingere a fonti affidabili e aggiornate, di apporre un timestamp ai dati (registrando la data e l’ora in cui i dati sono stati estratti, per poter dimostrare quanto siano aggiornati) e di validarli prima dell’impiego nell’addestramento.

4. La base giuridica del legittimo interesse e il balancing test.

Il consenso è ritenuto, di regola, inidoneo, stante l’assenza di relazione diretta con l’interessato e l’impossibilità pratica di acquisirlo su larga scala.

La base giuridica di elezione è dunque il legittimo interesse ex art. 6, par. 1, lett. f), GDPR. Nel connesso balancing test assumono rilievo le aspettative ragionevoli degli interessati, la natura più o meno pubblica della pubblicazione, le restrizioni tecniche imposte dal sito e le caratteristiche dei soggetti coinvolti — con particolare attenzione ai minori. L’EDPB valorizza inoltre gli effetti dissuasivi (chilling effect) della raccolta indiscriminata sulla libertà di espressione e la circostanza che, allo stato della tecnica, i dati personali non possano essere agevolmente cancellati da un modello già addestrato. Ove il bilanciamento risulti sfavorevole, il titolare può introdurre misure di mitigazione — esclusione di fonti e categorie di dati, limiti temporali, diritto di opposizione preventivo e liste di opt-out, cancellazione o pseudonimizzazione, presidi contro memorizzazione— la cui adeguatezza va valutata caso per caso.

5. Categorie particolari di dati

L’EDPB riconosce che, malgrado le misure preventive, il titolare possa trattare in via incidentale e residuale dati particolari non intenzionalmente raccolti. Per tali ipotesi, il Comitato reputa rilevante il ragionamento espresso dalla Corte di giustizia dell’Unione europea (“CGUE”) nella sentenza GC e a. (CGUE, 2019, C-136/17), secondo cui il divieto di cui all’art. 9, par. 1, opera nei limiti delle responsabilità, dei poteri e delle capacità del titolare. Nel caso di specie, stando all’interpretazione dell’EDPB, la Corte avrebbe ritenuto che i divieti e le restrizioni di cui agli articoli 9 e 10 del GDPR si applichino al gestore di un motore di ricerca solo in ragione dell’indicizzazione (in una pagina con i risultati di ricerca a seguito di una ricerca effettuata sulla base del nome di una persona fisica) e tramite verifica sulla base di una richiesta dell’interessato.

L’applicazione del principio è subordinata a una verifica caso per caso in ordine a quattro condizioni: la similarità con l’attività di un motore di ricerca; il carattere meramente incidentale e residuale del trattamento; l’oggettiva difficoltà di accertare a priori la presenza di dati particolari; e l’adozione di misure entro il perimetro delle proprie responsabilità, poteri e capacità. Tali misure si articolano lungo l’intero ciclo di vita del modello, gravando sul titolare l’onere di dimostrarne, in ossequio al principio di responsabilizzazione, la pertinenza e l’efficacia.

6. Indicazioni operative

Le Linee Guida, pur non ancora definitive in quanto sottoposte a consultazione pubblica, consolidano un impianto interpretativo di immediato interesse operativo. Sul piano applicativo esse suggeriscono ai titolari, ad esempio, di documentare la valutazione dei ruoli e la scelta della base giuridica, di formalizzare il balancing test e le misure di mitigazione, di predisporre informative pubbliche complete, nonché di istituire procedure di monitoraggio dell’output e di gestione delle istanze di cancellazione. L’enfasi posta sul carattere dinamico dello stato dell’arte (anche dal punto di vista normativo) impone, da ultimo, un necessario coordinamento con le previsioni del c.d. Pacchetto Omnibus suscettibili di influire sulle Linee Guida in esame e che, almeno in questa fase, non sembrano essere state prese (espressamente) in considerazione dall’EDPB.

Avv. Pietro Maria Mascolo


Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori